人大副教授郭锐:个人信息被滥用亟待法律回应
中国经营报《等深线》记者 李甜 马秀岚 北京报道
个人信息保护关乎每一个人的切身权益,个人信息必须从法律层面给予切实有效的保护。与美国、欧盟成员国等国家相比,我国还缺乏一部系统的规范个人信息保护的专门立法。《等深线》记者在今年两会上获悉,《个人信息保护法》草案已经提请全国人大常委会审议。
2020年,国家明确将数据作为生产要素资源之一。数据在经济活动当中所起到的价值性毋庸置疑。在信息化、智能化时代,如何应对APP过度索权的问题;如何让数据带来更强大的推动力,在实现更好的经济发展和便利生活的同时,兼顾公民个人隐私的良好保护?就此话题,3月11日,《等深线》记者采访了中国人民大学法学院副教授郭锐。
“创造秩序危机”
《等深线》:很多APP都会索要个人信息并解释称,收集用户个人信息是为了给用户带来更好的体验,你认为APP收集用户信息的度在哪里?
郭锐:今天,很多APP已经成为生活必需,它们大大便利了现代生活。一般而言,与实现APP提供的产品或服务的功能有直接关联的个人信息收集,属于合理收集;超出上述限度,则属于过度收集。让用户授权个人信息,应当依法、合理。对此,国家市场监督管理总局和国家标准化管理委员会发布的《个人信息安全规范》对厂商的信息收集给出了指引。
《等深线》:如何理解很多APP厂商过度去收集用户信息的原因?
郭锐:APP厂商过度收集用户信息,导致用户隐私受侵犯,从人工智能伦理的角度考虑,是一种典型的“创造秩序危机”的体现。创造秩序危机,简而言之,是人所创造的技术对人反噬的后果。具体到商业语境中,厂商过度收集用户信息,是商业企业产品设计的目标导向与用户的利益偏离的体现。处理这个问题,需要法律规制与市场主体自律来共同作用。
《等深线》:APP厂商在其用户隐私协议中,明确告知用户收集哪些权限及用途,目前是否就是正当,可以免责的?
郭锐:2019年开始,我国开展了APP 违法违规收集使用个人信息专项治理,专项治理工作组先后对千余款APP进行深度评估,并提出整改要求。如果APP厂商在隐私协议中有不合理规定,仍可以通过网上举报等方式,向专项治理工作组反映情况。
《等深线》:对于用户个人信息收集以后被“滥用”的情形,你有何看法?现阶段,如果用户信息被“滥用”,是否很难去追责?
郭锐:个人信息收集后的“滥用”,往往在骚扰电话增多、电信诈骗等负面后果中呈现出来。这个需要体系化的回应,目前相关行政机关和立法机关正在通过管制措施和拟议中的立法来应对。从原理上讲,需要在信息收集和使用的各个环节贯彻责任原则,从而最大限度地防止滥用。
《等深线》:APP过度收集用户信息的问题是否到了亟待化解的时候?
郭锐:这是数字技术在普通人生活中的重要性增加的表现。我国现在有近9亿名网民,其中手机上网比例高达 99.1%,APP使用极为广泛。个人信息在今天商业价值巨大,有不少企业将获取和利用个人信息作为其核心商业目标,获取方式往往出现问题。在这个基本前提下,个人信息泄露和被滥用对社会的影响越来越直接,这个问题确实亟须从法律上回应。
需要前瞻性立法
《等深线》:目前国家层面对于防范APP违规收集用户信息的举措主要有哪些?
郭锐:中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展了专项治理,打击违法违规收集使用个人信息行为,并引导相关企业和公共服务机构强化保护措施,保障公民合法权益。立法机关也在各项立法中回应了个人信息保护问题,并已经在审议为个人信息保护专门立法。
《等深线》:目前,国家对于个人信息保护方面的法律应对是否存在滞后性?
郭锐:关于个人信息的保护,已经有不少法律法规依据,例如《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《网络安全法》以及相关刑法修正案。刚刚通过的《民法典》相关规定,也为个人信息在民事权利体系中的合理定位提供了规范依据。《个人信息保护法》的立法已纳入十三届全国人大常委会的立法规划,并已经形成草案稿。
有关个人隐私保护的法律的确有一定滞后性。技术的进步日新月异,立法机关只有在问题出现并且广泛存在之后,才会从立法上进行回应。我们需要深入研究人工智能伦理和治理等基础问题,才能在数字时代提出更有前瞻性的立法。
《等深线》:现阶段,对于企业采集到的用户信息,你认为应该如何进行管理?
郭锐:采集到用户信息之后,需要遵循存储时间最小化、去标识化处理等原则,同时必须按照收集个人信息时所声称的目的来使用用户信息,如果超出范围使用,应当再次征得用户同意。总的来说,企业在采集到用户信息后,应当依法合规使用,同时应主动承担相关企业社会责任,共同维护社会对科技企业的信任。
《等深线》:对于用户应该如何防止个人信息泄露,你有什么建议?
郭锐:“默认设置”很重要。APP收集用户信息的“默认设置”,反映了企业对保护个人信息方面的自律性和社会责任担当。这一点上,我建议媒体和第三方机构通过测评和对比等方式,向社会公众传播符合企业社会责任的最佳实践,对缺乏自律性的企业进行鞭策。这有利于提醒和帮助用户选择APP,最终通过市场竞争的方式提升个人信息保护水平。
